Sunday, May 28, 2023
Homeข่าวสาร คริปโตแฮกเกอร์เกาหลีเหนือขโมยเงินนับล้านโดยแอบอ้างเป็น VC และธนาคารของญี่ปุ่น

แฮกเกอร์เกาหลีเหนือขโมยเงินนับล้านโดยแอบอ้างเป็น VC และธนาคารของญี่ปุ่น

เมื่อวันที่ 27 ธันวาคม Kaspersky Lab ประกาศเตือนว่า แฮกเกอร์เกาหลีเหนือ ‘BlueNoroff‘ ขโมยเงินดิจิทัลหลายล้านดอลลาร์หลังจากสร้างโดเมนปลอมมากกว่า 70 โดเมนที่แอบอ้างเป็นธนาคารและบริษัทร่วมทุน (VC)

จากการสืบสวนโดเมนส่วนใหญ่เลียนแบบบริษัทร่วมทุนของญี่ปุ่น “หลังจากค้นคว้าโครงสร้างพื้นฐานที่ใช้ เราค้นพบโดเมนมากกว่า 70 โดเมนที่เลียนแบบเป็นบริษัทร่วมทุนและธนาคาร โดยส่วนใหญ่จะแสดงตนว่าเป็นบริษัทญี่ปุ่นที่มีชื่อเสียง แต่บางแห่งก็เป็นบริษัทของสหรัฐอเมริกาและเวียดนามด้วย

Bluenoroff Group กำลังทดสอบวิธีการส่งมัลแวร์แบบใหม่

เมื่อไม่กี่เดือนที่ผ่านมา BlueNoroff group ได้ใช้เอกสาร Word เพื่อกระจายมัลแวร์ อย่างไรก็ตาม เมื่อเร็วๆ นี้ พวกเขาได้ปรับปรุงเทคนิคของตน โดยสร้างไฟล์ Windows Batch ใหม่ที่ช่วยให้ขยายขอบเขตและโหมดการทำงานของมัลแวร์ได้

ไฟล์ .bat ใหม่เหล่านี้หลีกเลี่ยงมาตรการรักษาความปลอดภัยของ Windows Mark-of-the-Web (MOTW) ซึ่งเป็นเครื่องหมายที่ซ่อนอยู่ซึ่งแนบมากับไฟล์ที่ดาวน์โหลดจากอินเทอร์เน็ต เพื่อปกป้องผู้ใช้ที่ได้รับไฟล์จากแหล่งที่ไม่น่าเชื่อถือ

หลังจากการตรวจสอบอย่างละเอียดในช่วงปลายเดือนกันยายน Kaspersky ยืนยันว่านอกเหนือจากการใช้สคริปต์ใหม่แล้ว BlueNoroff group ยังเริ่มใช้ไฟล์อิมเมจดิสก์ .iso และ .vhd เพื่อเผยแพร่ไวรัส

Kaspersky ยังพบว่าผู้ใช้รายหนึ่งในสหรัฐอาหรับเอมิเรตส์ตกเป็นเหยื่อของ BlueNoroff group หลังจากดาวน์โหลดเอกสาร Word ที่ชื่อว่า “Shamjit Client Details Form.doc” ซึ่งทำให้แฮกเกอร์สามารถเชื่อมต่อกับคอมพิวเตอร์ของเขาและดึงข้อมูลออกมา

เมื่อแฮกเกอร์เข้าสู่ระบบคอมพิวเตอร์แล้ว “พวกเขาพยายามพิมพ์ลายนิ้วมือของเหยื่อและติดตั้งมัลแวร์เพิ่มเติมด้วยสิทธิพิเศษระดับสูง” อย่างไรก็ตาม เหยื่อใช้คำสั่งหลายคำสั่งเพื่อป้องกันไม่ให้มัลแวร์แพร่กระจายออกไปมากกว่านี้

เทคนิคการแฮกซับซ้อนและเป็นอันตรายมากขึ้น

เกาหลีเหนือเป็นผู้นำโลกในด้านอาชญากรรมคริปโต รายงานระบุว่าแฮกเกอร์เกาหลีเหนือสามารถขโมยคริปโตมูลค่ากว่า 1 พันล้านดอลลาร์ได้มาจนถึงเดือนพฤษภาคมปี 2022 โดย Lazarus group เป็นกลุ่มที่มีชื่อเสียงมากที่สุดในด้านการโจมตีแบบฟิชชิงและเทคนิคการแพร่กระจายมัลแวร์

หลังจากการโจรกรรมเงินกว่า 620 ล้านดอลลาร์จาก Axie Infinity แฮกเกอร์เกาหลีเหนือ Lazarus group ซึ่งเป็นหนึ่งในกลุ่มแฮกเกอร์ที่ใหญ่ที่สุดในโลก ได้ระดมเงินมากพอที่จะปรับปรุงซอฟต์แวร์ของตนในระดับที่พวกเขาสามารถสร้างโครงการ cryptocurrency ขั้นสูงผ่าน โดเมนที่ชื่อว่า bloxholder.com ซึ่งพวกเขาใช้เป็นเครื่องมือในการขโมย private keys ของ “ลูกค้า” จำนวนมากที่หลงมาใช้บริการของพวกเขา

หนึ่งในเทคนิคใหม่ล่าสุดที่แฮกเกอร์ใช้ผ่านกลุ่ม Telegram คือการส่งไฟล์ที่ติดไวรัสซึ่งปลอมเป็นตาราง Excel ที่มีโครงสร้างค่าธรรมเนียมของเว็บเทรดคริปโต และเมื่อเหยื่อเปิดไฟล์จะทำการดาวน์โหลดชุดโปรแกรมโดยอัตโนมัติที่ช่วยให้แฮกเกอร์สามารถเข้าถึงอุปกรณ์ที่ติดไวรัสได้จากระยะไกล ไม่ว่าจะเป็นอุปกรณ์พกพาหรือพีซี

ที่มา : cryptopotato.com

สามารถติดตามข่าวสารได้ที่ช่องทางต่างๆเพียงคลิกที่ Line Facebook Twitter และ Telegram

RELATED ARTICLES

เนื้อหาที่น่าสนใจ